yiheng9808 发表于 2008-6-8 18:45:32

高手进来看看这个壳.

这个软件用PEID查壳是Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks 壳,试图用DILLOIE1.6来脱壳,

显示如下:
创建进程...
--> 文件名:hrbase.exe
--> 进程 ID:00000B3C
调用 OEP 钩子...
--> 015A13BD
--> 015A13E4
新线程已创建。 ID: 00000F18
确定 OEP 为:0073F4E0

但随后就提示DILLODIE.EXE遇到商量需要关闭,用OD载入,提示"错误或者未知的32位格式....." ,确定打开后,找不到0073F4E0,而是停在
0079E869 >55push ebp 这个位置,该项怎样脱壳呢?请各位高手帮忙.
软件地址:
http://www.numinfo.com/download/hrbase.exe

寂寞的季节 发表于 2008-6-9 00:47:51

先用 Armadillo.Find.Protected 查看使用哪些保护

yiheng9808 发表于 2008-6-9 09:05:28

用Armadillo.Find.Protected V1.8加载,显示如下,但不知是何意思,还请高手指点.
<------- 09-06-2008 09:08:51 ------->
C:\Program Files\玉舟人力资源管理系统精英版V9.31(试用版)\hrbase.exe
!- Protected Armadillo
Protection system (Basic)
!- <Protection Options>
Standard protection or Minimum protection
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
?- No Debug-Blocker, Child not detach
45EF5200 Version X.X 08-03-2007
!- Elapsed Time 00h 00m 00s 437ms

寂寞的季节 发表于 2008-6-9 11:11:37

标准版的 双进程就是变成单进程就可以拉
去ARM区看看 不难的

yunfeng 发表于 2008-6-9 12:06:21

这个壳直接用脚本脱就可以了。

yiheng9808 发表于 2008-6-9 21:07:37

用OD 载入后,运用内存断点的方法找到了OEP:0073F4E0
但是脱壳后不能运行,修复后也不能运行,哪位高手能帮忙脱一下,谢谢了.

glts 发表于 2008-6-10 23:00:55

标准版单进程~论坛这么多资料自己查询一下~

[ 本帖最后由 glts 于 2008-6-10 23:03 编辑 ]

yiheng9808 发表于 2008-6-15 17:41:20

非常感谢,向您学习!
页: [1]
查看完整版本: 高手进来看看这个壳.